計算機網絡安全基礎第三版習題參考答案

2024年3月2日發(作者：三大丘陵)

計算機網絡安全基礎（第三版）習題參考答案

第一章習題：

1．舉出使用分層協議的兩條理由？

1.通過分層，允許各種類型網絡硬件和軟件相互通信，每一層就像是與另一臺計算機對等層通信；

2.各層之間的問題相對獨立，而且容易分開解決，無需過多的依賴外部信息；同時防止對某一層所作的改動影響到其他的層；

3.通過網絡組件的標準化，允許多個提供商進行開發。

2．有兩個網絡，它們都提供可靠的面向連接的服務。一個提供可靠的字節流，另一個提供可靠的比特流。請問二者是否相同？為什么？

不相同。在報文流中，網絡保持對報文邊界的跟蹤；而在字節流中，網絡不做這樣的跟蹤。例如，一個進程向一條連接寫了1024字節，稍后又寫了另外1024字節。那么接收方共讀了2048字節。對于報文流，接收方將得到兩個報文，、每個報文1024字節。而對于字節流，報文邊界不被識別。接收方把全部的2048字節當作一個整體，在此已經體現不出原先有兩個不同的報文的事實。

3．舉出OSI參考模型和TCP/IP參考模型的兩個相同的方面和兩個不同的方面。

OSI模型(開放式系統互連參考模型)：這個模型把網絡通信工作分為7層，他們從低到高分別是物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。第一層到第三層屬于低三層，負責創建網絡通信鏈路；第四層到第七層為高四層，具體負責端到端的數據通信。每層完成一定的功能，每層都直接為其上層提供服務，并且所有層次都互相支持。

TCP/IP模型只有四個層次：應用層、傳輸層、網絡層、網絡接口層。與OSI功能相比，應用層對應的是OSI的應用層、表示層、會話層；網絡接口層對應著OSI的數據鏈路層和物理層。

兩種模型的不同之處主要有：

(1) TCP/IP在實現上力求簡單高效，如IP層并沒有實現可靠的連接，而是把它交給了TCP層實現，這樣保證了IP層實現的簡練性。OSI參考模型在各層次的實現上有所重復。

(2) TCP/IP結構經歷了十多年的實踐考驗，而OSI參考模型只是人們作為一種標準設計的；再則TCP/IP有廣泛的應用實例支持，而OSI參考模型并沒有。

4．TCP和UDP之間的主要區別是什么？

TCP，傳輸控制協議，提供的是面向連接的、可靠的字節流服務。當客戶和服務器彼此交換數據前，必須先在雙方之間建立一個TCP連接，之后才能傳輸數據。TCP提供超時重發，丟棄重復數據，檢驗數據，流量控制等功能，保證數據能從一端傳到另一端。

UDP，用戶數據報協議，是一個簡單的面向數據報的運輸層協議。UDP不提供可靠性，它只是把應用程序傳給IP層的數據報發送出去，但是并不能保證它們能到達目的地。由于UDP在傳輸數據報前不用在客戶和服務器之間建立一個連接，且沒有超時重發等機制，故而傳輸速度很快。

5．網橋、路由器、網關的主要區別是什么？

網橋運行在數據鏈路層，采用介質訪問控制（MAC）地址數據的中繼功能，從而完成一個局域網到另一個局域網的數據包轉發。網橋主要用于連接兩個尋址方案兼容的局域網，

即同一種類型的局域網。用網橋連接起來的局域網不受MAC定時特性的限制，理論上可達全球范圍。

路由器運行在網絡層（分層模型的第三層），它的網間數據包中繼采用的是網絡層地址（如IP地址）。路由器的能力比網橋強大的多，它不僅具備流量控制能力，還可以提供諸如幀中繼的網絡接口。用路由器連接起來的多個網絡，它們仍保持各自的實體地位不變，即它們各自都有自己獨立的網絡地址。

網關用于實現不同體系結構網絡之間的互聯，它可以支持不同協議之間的轉換，實現不同協議網絡之間的通信和信息共享。

6．分析路由器的作用及適用場合？

路由器是局域網和廣域網之間進行互聯的關鍵設備，用于連接多個邏輯上分開的網絡。通常的路由器都具有負載平衡、組織廣播風暴、控制網絡流量以及提高系統容錯能力等功能。一般來說，路由器多數都可以支持多種協議，提供多種不同的物理接口。路由器的適用場合包括局域網和廣域網等多種類型網絡之間的連接。在主干網上，路由器的主要作用是路由選擇，在地區網中，路由器的主要作用是網絡連接和路由選擇，在園區網內，路由器的作用是分割子網。

7．Internet提供的主要服務有哪些？

遠程登錄服務(Telnet) 、 文件傳輸服務(FTP) 、 電子郵件服務(E-Mail) 、 網絡新聞服務(Unet) 、信息瀏覽服務(Gopher、WWW) 、網絡用戶信息查詢服務、實時會議服務、DNS服務、網絡管理服務、NFS文件系統下的服務、X-Windows服務和網絡打印服務。

8．電子郵件的頭部主要包括哪幾部分？（寫出最重要的三個）

電子郵件分成兩部分，頭部和主體。頭部包含有關接收方、發送方、信息內容等方面的信息。頭部由若干行組成，每一行首先是一個關鍵字，一個冒號，然后是附加的信息。關鍵字有：From, To, Cc, Bcc, Date, Subject,Reply-To, X-Chart, X-Mailer等。

9．接入Internet需要哪些設備和條件？

1.計算機2.網卡，或Modem或ISDN卡3.電話線

10．用路由器連接起來的網絡和用網橋連接起來的網絡其本質區別是什么？

路由器可以連接不同的網絡，是第三層的設備；網橋只能連接兩個相同的網絡，是第二層設備。另外，路由器可以隔離廣播而網橋不隔離。

第二章習題：

1．網絡操作系統與單機操作系統之間的主要區別是什么？

操作系統的主要功能有：管理系統內所有資源，為用戶提供服務，網絡操作系統和單機操作系統都具備這些功能，但是兩者還有區別。一是管理的范圍不同，單機操作系統管理的是本機資源，網絡操作系統要為用戶提供各種基本網絡服務，管理的是整個網絡的資源，包括本地和網絡的；二是提供的服務不同，單機操作系統為本地用戶提供服務，網絡操作系統同時還要為網絡用戶提供服務。

2．局域網操作系統有哪些基本服務功能？

局域網必須能為用戶提供各種基本網絡服務：文件服務、打印服務、數據庫服務、通

信服務、分布式服務、網絡管理服務、Internet/Intranet等。

3．Unix操作系統的主要特點有哪些？

UNIX是一個多任務多用戶的操作系統，它具有的特點如下：

可靠性高；極強的伸縮性；網絡功能強；強大的數據庫支持功能；開放性好。

4．Linux操作系統的主要特點有哪些？

Linux是按照UNIX風格設計的操作系統，Linux具有如下一些主要特點：

與UNIX高度兼容；高度的穩定性和可靠性；完全開放源代碼，價格低廉；系統安全可靠，絕無后門。

5．Windows 操作系統的主要特點有哪些？

可靠、高效能、連接性、經濟

6．Windows 操作系統的安全特點是什么？

在Windows中所有的對象都有一個安全標示符，安全性標識符上列出了允許用戶和組在對象上可以執行的動作。安全性標識符可以用來設置和查詢一個對象的安全屬性，所有的命名對象、進程和線程都有與之關聯的安全描述。Windows安全模式的一個最初目標，就是定義一系列標準的安全信息，并把它應用于所有對象的實例。

7．Unix操作系統的文件訪問控制是基于什么來完成的？

UNIX操作系統的資源訪問控制是基于文件的。系統中的每一個文件都具有一定的訪問權限，只有具有這種訪問權限的用戶才能訪問該文件，否則系統將給出Permission Denied的錯誤信息。

8．Unix操作系統對文件進行操作的有哪三類用戶？

用戶本人；用戶所在組的用戶；其他用戶。

9．簡述NTFS文件系統的特點？

NTFS文件系統具有如下特點：

1) NTFS可以支持的分區大小可以達到2TB；

2) NTFS是一個可恢復的文件系統；

3) NTFS支持對分區、文件夾和文件的壓縮；

4) NTFS采用了更小的簇，可以更有效率的管理磁盤空間；

5) 在NTFS分區上，可以共享資源、文件夾以及文件設置訪問許可權限；

6) 在NTFS文件系統下可以進行磁盤配額管理；

7) NTFS使用一個“變更”日志來跟蹤記錄文件所發生的變更。

第三章習題：

1．網絡安全的含義是什么？

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然或者惡意的原因而遭到破壞、更改和泄漏，系統連續、可靠、正常的運行，網絡服務不中斷。

2．網絡安全有哪些特征？

保密性、完整性、可用性和可控性。

3．什么是網絡安全的最大威脅？

網絡安全主要面臨的安全威脅有：非授權訪問、信息泄露、拒絕服務

4．網絡安全主要有哪些關鍵技術？

主機安全技術；身份認證技術；訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術。

5．如何實施網絡安全的安全策略？

實施安全策略要注意幾個問題：

安全局政策不要過于繁瑣，不能只是一個決定或者方針；安全政策一定要真正執行；策略的實施不僅僅是管理人員的事，而且也是技術人員的事。

安全策略應包括如下內容：

網絡用戶的安全責任；系統管理員的安全責任；正確利用網絡資源，規定誰可以使用網絡資源；檢測到安全問題時的對策。

6．如何理解協議安全的脆弱性？

計算機網絡系統普遍使用的TCP/IP以及FTP、E-mail，NFS等都包含著許多影響網絡安全的因素，存在許多漏洞。

7．數據庫管理系統有哪些不安全因素？

主要從物理安全、網絡安全、管理安全等方面進行論述。

8．解釋網絡信息安全模型。

網絡信息安全模型中，政策、法律、法規是基石，它是建立安全管理的標準和方法；第二部分是增強的用戶認證，主要目的是提供訪問控制。用戶認證的方法主要有用戶持有的證件、用戶知道的信息、用戶特有的特征。第三部分是授權，主要是為特許用戶提供合適的訪問權限，并監控用戶的活動，時期不越權使用。之后是加密，加密主要滿足認證、一致性、隱秘性、不可抵賴的需求。模型的頂部是審計與監控，這是最后一道防線，包括數據的備份。

9．對因特網進行安全管理需要哪些措施？

安全管理的目的是利用各種措施來支持安全政策的實施，需從安全立法、加強管理和發展安全技術著手。

第四章習題：

1．計算機系統安全的主要目標是什么？

在一定的外部環境下，保證系統資源的安全性、完整性、可靠性、保密性、有效性、合法性和服務可用性。

2．簡述計算機系統安全技術的主要內容

（1）實體硬件安全技術：為保證計算機設備及其他設施免受危害所采取的措施，包括計算機設備、通信線路及設施等。

（2）軟件系統安全技術：包括口令控制、鑒別技術、軟件加密、掌握高安全產品的質量標準等。

（3）數據信息安全技術：包括對各種用戶的身份識別技術、口令、指紋驗證、存取控制技術、緊急處置和系統恢復等。

（4）網絡站點安全技術：包括防火墻技術、網絡跟蹤檢測技術、路由控制隔離技術、流量控制分析技術等。

（5）運行服務安全技術：包括系統的使用與維護、隨機故障維護技術、軟件可靠性、可維護性保證技術等。

（6）病毒防治技術：包括計算機病毒檢測、診斷和消除等。

（7）防火墻技術：包括電子郵件和遠程終端訪問等。

（8）計算機應用系統的安全評價：作為安全保密工作的尺度。

3．計算機系統安全技術標準有哪些？

D級、C1級、C2級、B1級、B2級、B3級、A級

4．訪問控制的含義是什么？

訪問控制是對進入系統的控制，作用是對需要訪問系統及其數據的人進行識別，并檢驗其合法身份。

5．如何從Unix系統登錄？

申請賬號，輸入正確的用戶賬號、密碼，登錄

6．如何從Windows xp系統登錄？

Windows xp系統的登錄主要有4種方式：

（1）交互式登錄：通過相應的用戶賬號和密碼在本機登錄。

（2）網絡登錄：輸入的賬號、密碼必須是對方主機上的。

（3）服務登錄：采用不同的用戶賬號登錄，可以是域用戶帳戶、本地用戶賬戶或系統帳戶，不同帳戶的訪問、控制權限不同。

（4）批處理登錄：所用賬號要具有批處理工作的權利。

7．怎樣保護系統的口令？

選擇安全的口令、系統使用口令的生命期控制、Windows XP系統的口令管理

8．什么是口令的生命周期？

管理員可以為口令設定一個時間，當到期后，系統會強制要求用戶更改系統口令。

9．如何保護口令的安全？

不要將口令告訴別人，不要用系統指定的口令，最好不用e-mail傳送口令，帳戶長期不用應暫停，限制用戶的登錄時間，限制用戶的登錄次數，記錄最后登錄時的情況，使用TFTP獲取口令文件，定期查看日志文件，確保除root外沒有其它公共賬號，使用特殊用戶組限制，關閉沒有口令卻可以運行命令的賬號。

10．建立口令應遵循哪些規則？

選擇長口令，包括英文字母和數字的組合，不要使用英語單詞，不要使用相同口令訪問多個系統，不要使用名字，不選擇難記憶口令，使用UNIX安全程序。

第五章習題：

1．試分析數據庫安全的重要性，說明數據庫安全所面臨的威脅。

數據庫是網絡系統的核心部分，有價值的數據資源都存放其中，不允許受到惡意侵害，或未經授權的存取與修改。所面臨的威脅主要有篡改、損壞和竊取。

2．數據庫中采用了哪些安全技術和保護措施？

主要包括兩個方面：支持數據庫的操作系統，數據庫管理系統（DBMS）。DBMS的安全使用特性的幾點要求：多用戶、高可靠性、頻繁更新、文件大。

3．數據庫的安全策略有哪些？簡述其要點。

（1）用戶標識和鑒定：通過核對用戶的名字或身份決定該用戶對系統的使用權。

（2）存取控制：對用戶權限進行合法權檢查。

（3）數據分級：把數據分級，對每一級數據對象賦予一定的保密級。

（4）數據加密：用密碼存儲口令、數據，對遠程終端信息用密碼傳輸。

4．數據庫的加密有哪些要求？加密方式有哪些種類？

為了更好地保證數據的安全性，可用密碼存儲口令、數據，對遠程終端信息用密碼傳輸防止中途非法截獲等。

加密方式有：用加密算法對明文加密、明鑰加密法等。

5．事務處理日志在數據庫中有何作用？

在動態轉儲方式中，后備副本和日志文件綜合起來才能有效地恢復數據庫；在靜態轉儲方式中，數據庫毀壞后裝入后備副本，利用日志文件把已完成事務進行重新處理，對故障發生時尚未完成的事務進行撤銷。

6．數據庫管理系統的主要職能有哪些？

（1）有正確的編譯功能，能正確執行規定的操作；

（2）能正確執行數據庫命令；

（3）保證數據的安全性、完整性，能抵御一定程度的物理攻擊，能維護和提交數據庫內容；

（4）能識別用戶，分配授權和進行訪問控制，包括身份識別和驗證；

（5）順利執行數據庫訪問，保證網絡通信功能。

7．簡述常用數據庫的備份方法。

常用的數據庫備份方法有冷備份、熱備份和邏輯備份3種。

冷備份需要關閉數據庫系統，在沒有任何用戶對它進行訪問的情況下備份。熱備份在系統運行時進行備份，依賴于日志文件中更新或更改指令的堆疊，不是真正將數據寫入數據庫。邏輯備份是使用軟件技術從數據庫中提取數據，并將數據映像輸出。

8．簡述易地更新恢復技術。

每個關系有一個頁表，頁表中的每一項是一個指針，指向關系中的每一頁（塊）。當更新時，舊頁保持不變，將新內容寫入新頁。在提交時，頁表的指針從舊頁指向新頁。

9．簡述介質失效后，恢復的一般步驟。

（1）修復系統，必要時更換磁盤；

（2）如果系統崩潰，則重新啟動系統；

（3）加載最近的備份；

（4）用運行日志中的后像重做，取最近備份以后提交的所有事務。

10．什么叫“前像”，什么叫“后像”？

前像是指數據庫被一個事務更新時，所涉及的物理塊更新后的影像，它以物理塊為單位。后像是指數據庫被一個事務更新時，所涉及的物理塊更新前的影像，同前像一樣以物理塊為單位。

第六章習題：

1．什么是計算機病毒？

計算機病毒是一種“計算機程序”，它不僅能破壞計算機系統，而且還能夠傳播、感染到其他系統。它通常隱藏在其他看起來無害的程序中，他能復制自身并將其插入到其他程序中以執行惡意的行動。

2．計算病毒的基本特征是什么？

可以編寫人為破壞；自我復制；奪取系統控制權；隱蔽性；潛伏性；不可預見性。

3．簡述計算機病毒攻擊的對象及所造成的危害。

（1）攻擊系統數據區：受損數據不易恢復；

（2）攻擊文件：刪除文件、改名、替換內容、丟失簇、對文件加密；

（3）攻擊內存：大量占用、改變內存總量、禁止分配、蠶食內存；

（4）干擾系統運行：不執行命令、干擾內部命令的執行、虛假警報等；

（5）干擾鍵盤、喇叭或屏幕：封鎖鍵盤、喇叭發出響聲、滾屏等；

（6）攻擊CMOS：對CMOS進行寫入操作，破壞CMOS中的數據；

（7）干擾打印機：假報警、間斷性打印等；

（8）破壞網絡系統：非法使用網絡資源，破壞電子郵件等。

4．病毒按寄生方式分為哪幾類？

文件病毒、引導扇區病毒、多裂變病毒、秘密病毒、異形病毒、宏病毒

5．計算機病毒一般由哪幾部分構成，各部分的作用是什么？計算機病毒的預防有哪幾方面？

計算機病毒程序由引導模塊、傳染模塊、干擾或破壞模塊組成。

預防：下載正規網站資源，下載后掃描；安裝正版殺毒軟件和防火墻；關閉危險服務、端口及共享；刪除多余或停用的賬戶；使用移動存儲設備前先掃描病毒；定期徹底全盤查毒，定期備份重要文件等。

6．簡述檢測計算機病毒的常用方法。

比較法：比較被檢測對象與原始備份；掃描法：利用病毒特征代碼串對被檢測對象進行掃描；計算特征字的識別法：也是基于特征串掃描；分析法：利用反匯編技術。

7．簡述宏病毒的特征及其清除方法。

宏病毒的特征：感染.doc文檔及.dot模板文件；通常是Word在打開帶宏病毒文檔或模板時進行傳染；多數宏病毒包含AutoOpen、AutoClo等自動宏；含有對文檔讀寫操作的宏命令；在.doc文檔及.dot模板中以.BFF格式存放。

宏病毒的清除：使用選項“提示保存Normal模板”；不要通過Shift鍵來禁止運行自動

宏；查看宏代碼并刪除；使用DisableAutoMacro宏；設置的只讀屬性；的密碼保護。

8．什么是計算機病毒免疫？

通過一定的方法，使計算機自身具有防御計算機病毒感染的能力。

9．簡述計算機病毒的防治措施。

使用合法原版的軟件，將重要的資料備份，殺毒軟件，注意觀察一些現象等。

10．什么是網絡病毒，防治網絡病毒的要點是什么？

計算機網絡病毒是在計算機網絡上傳播擴散，專門攻擊網絡薄弱環節、破壞網絡資源的計算機病毒。

防治：使用防毒軟件保護客戶機和服務器，使用特定的優秀的防毒軟件等。

第七章習題：

1．什么是數據加密？簡述加密和解密的過程。

數據機密是基本的保證通信安全的方法。數據加密的基本過程包括對稱為明文的可讀信息進行加處理，形成稱為密文或密碼的代碼形式。該過程的逆過程為解密，即將該編碼信息轉化為其原來形成的過程。

加密的過程就是通過加密算法，用密鑰對明文進行信息處理的過程。加密算法通常是公開的，現在只有少數幾種加密算法，如DES、RSA等。

解密的過程就是加密的逆過程，通過加密算法將密文還原成明文信息。

2．在凱撒密碼中令密鑰k=8，制造一張明文字母與密文字母對照表。

ABCDEFGHIJKLMNOPQRSTUVWXYZ k=8

IJKLMNOPQRSTUVWXYZABCDEFGH

3．用維吉尼亞法加密下段文字：COMPUTER AND PASSWORD SYSTEM，密鑰為

KEYWORD。

略。可對照172頁表7.1維吉尼亞表。

4．DES算法主要有哪幾部分？

DES算法采用56位的密鑰，在16輪內完成對64位數據塊的加密。每輪所用的子密鑰由初始密鑰分解而來。DES算法主要分為兩部分：置換（初始置換、擴充置換及最終逆初始置換）和替代（S盒），另外還有基于密碼的復雜計算。

6．簡述加密函數f的計算過程。

DES對64位的明文進行16輪形同的運算，這些運算即為函數f，在運算過程中數據和密鑰結合。在每一輪中，密鑰位移位，然后再從密鑰的56位中選出48位。通過一個擴展置換將數據的右半部分擴展成48位，并通過一個異或操作與48位密鑰結合，通過8個S盒將這個48位替代成新的32位數據，再將其置換一次。

8．簡述DES算法和RSA算法保密的關鍵所在。

DES算法的密鑰有56位，通過16輪操作進行最終加密。DES的安全性依賴于解密速度。現在DES密鑰的求解只有窮舉，算法的安全性還是很可靠的。

RSA算法的安全性依賴于大數分解。公鑰和私鑰都是兩個大素數的函數，從一個密鑰和密文推斷出明文的難度等同于分解兩個大素數的積。

9．公開密鑰體制的主要特點是什么？

加密能力與解密能力是分開的；密鑰分發簡單；需要保存的密鑰量大大減少，N個用戶只需要N個；可滿足不相識的人之間保密通信；可以實現數字簽名。

10．說明公開密鑰體制實現數字簽名的過程。

數字簽名時至少要將數字證書的公共部分和其他信息加在一起，才能確認信息的完整性。在信息和數字證書發送之前，要先通過散列算法生成信息摘要，用發送者的私鑰對信息摘要加密，然后將這個數字簽名作為附件和報文送給接收方。當接收方收到報文后，用發送方的公鑰解密信息摘要進行驗證，然后通過散列算法計算信息摘要比較結果，如果兩個信息摘要相同，則可確認是由發送方簽名的。

11．RSA算法的密鑰是如何選擇的？

給定n = pq，p和q是大素數，ed modφ(n) = 1，公開密鑰為(n，e)，秘密密鑰為(n，d)

加密：m ∈[0, n-1]，gcd(m, n) = 1, 則c = me mod n

解密：m = cd mod n = (me mod n )d mod n= m ed mod n = m

簽名：s = md mod n

驗證：m = mod n = (md mod n )e mod n= m ed mod n = m

第八章習題：

1．IPSec能對應用層提供保護嗎？

IPSec是一個工業標準網絡安全協議，為IP網絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改。IPSec工作于網絡層，對終端站點間所有傳輸數據進行保護。它對應用層的保護是間接的，保護應用層可采用代理防火墻/保密網關技術。

2．按照IPSec協議體系框架，如果需要在AH或ESP中增加新的算法，需要對協議做些什么修改工作？

除修改AH和ESP外還要修改Internet密鑰交換（IKE）協議。

3．簡述防火墻的工作原理。

防火墻是在兩個網絡之間執行訪問控制策略的一個或一組系統，包括硬件或軟件，目的是保護網絡不被他人侵擾。本質上，它遵循的是一種允許或阻止業務來往的網絡通信安全機制，也就是提供可控的過濾網絡通信，只允許授權的通信。

4．防火墻的體系結構有哪些？

目前防火墻的體系結構一般有三種：

1) 雙重宿主主機體系結構

2) 主機過濾體系結構

3) 子網過濾體系結構

5．在主機過濾體系結構防火墻中，內部網的主機想要請求外網的服務，有幾種方式可以

實現？

兩種，一種是使用已經由數據包過濾的服務，另一種是由堡壘主機使用代理服務。

6．簡述入侵檢測系統的工作原理，比較基于主機和基于網絡應用的入侵檢測系統的優缺點。

入侵檢測系統（IDS）通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象。

優點：

基于主機：有專門的檢測代理，能提供更詳盡的相關信息，誤報率低，復雜性相對基于網絡的要低；

基于網絡應用：不需要主機提供嚴格的審計，對主機資源消耗少，并可以提供對網絡通用的保護而無需顧及異構主機的不同架構。

缺點：

基于主機：依賴于服務器固有的日志與監視能力，不能確保及時采集到審計；

基于網絡應用：由于要檢測整個網段的流量，處理的信息量大，易遭受拒絕服務（DOS）攻擊。

7．構建一個VPN系統需要解決哪些關鍵技術？這些關鍵技術各起什么作用？

1) 隧道技術：VPN的核心就是隧道技術，隧道是一種通過因特網在網絡之間傳遞數據的方式。在VPN主要有兩種隧道，一種是端到端的，另一種是節點到節點的。

2) 加密技術：保證VPN的私有和專用特點，在發送者發送數據之前對數據加密，當數據到達后再由接受者進行解密。

3) 用戶身份認證技術：主要用于遠程訪問的情況，以確定用戶的合法性和使用權限。

4) 訪問控制技術：確定合法用戶對特定資源的訪問權限，以實現對信息資源的最大限度保護。

9．用IPSec機制實現VPN時，如果企業內部網使用了私用IP地址怎么辦？IPSec該采用何種模式？

IPSEC協議通過包封裝技術，能夠利用Internet可路由的地址，封裝內部網絡的IP地址，實現異地網絡的互通。IPSec應采用傳輸（transport）模式。

第九章習題：

1．總結因特網上不安全的因素。

因特網的安全隱患有：

1) 電子郵件

2) 文件傳輸協議（FTP）

3) 遠程登錄

4) 用戶新聞

5) 萬維網（WWW）

2．從網上查找監控工具、Web統計工具，簡要記錄其功能。

監控工具：LSC局域網屏幕監控系統、AnySpy（網絡警察）等

Web統計工具：微軟的Gatineau、AWStats等

3．簡述IP欺騙技術。

所謂IP欺騙，就是偽造某臺主機IP地址的技術，被偽造的主機往往具有某種特權或者被另外的主機所信任。通常欺騙者通過使用RAW Socket編程，發送帶有假冒的源IP地址的IP數據包，來達到自己的目的。

IP欺騙技術有如下三個特征：

1）只有少數平臺能夠被這種技術攻擊，也就是說很多平臺都不具有這方面缺陷。

2）這種技術出現的可能性比較小，因為這種技術不好理解，也不好操作，只有一些真正的網絡高手才能做到這點。

3）很容易防備這種攻擊方法，如使用防火墻等

6．簡述黑客是如何攻擊一個網站的。

通常黑客攻擊有三個階段：

1）信息收集。黑客會利用一些公開協議或工具，收集駐留在網絡系統中的各個主機系統的相關信息；

2）系統安全弱點的探測。黑客可能使用自編程序或者利用公開的工具，自動掃描駐留在網絡上的主機，以尋求該系統的安全漏洞或安全弱點；

3）網絡攻擊。黑客一旦獲得了對攻擊的目標系統的訪問權后，就可能通過各種方式進行攻擊，實施破壞活動。

7．說明電子郵件匿名轉發的常用手段。

改變電子郵件的發送者名字；讓其他人發送郵件；使用匿名服務器等。

第十章習題：

1．簡述數據完整性的概念及影響數據完整性的主要因素。

數據完整性泛指與損壞和丟失相對的數據的狀態，它通常表明數據的可靠性與準確性是可以信賴的，同時也意味著數據有可能是無效的或不完整的。

影響數據完整性的因素主要有：硬件故障、網絡故障、邏輯問題、意外的災難性事件和人為的因素。

2．什么是容錯與網絡冗余技術，實現容錯系統的主要方法有哪些？

容錯是指當系統出現某些指定的硬件或軟件的錯誤時，系統仍能執行規定的一組程序。或者說程序不會因系統中的故障而中斷或被修改，并且執行結果也不包含系統中故障所引起的差錯。

實現容錯系統的主要方法有：1）空閑備件；2）負載平衡；3）鏡像；4）復現；5）冗余系統配件；6）存儲系統的冗余

網絡冗余技術是保證在網絡系統中，作為傳輸數據介質的線路和其他的網絡連接部件都必須有維持正常運行時間的備用途徑。

3．實現存儲系統冗余的方法有哪些？

1）磁盤鏡像：這是最常見的，也是常用的實現存儲系統容錯的方法之一。磁盤鏡像時兩個磁盤的格式需相同。

2）磁盤雙聯：在鏡像磁盤對中增加一個I/O控制器便稱為磁盤雙聯。

3）冗余磁盤陣列：是一種能夠在不經歷任何故障時間的情況下更換正在出錯的磁盤或已發生故障的磁盤的存儲系統，它是保證磁盤子系統非故障時間的一條途徑。

4．簡述“鏡像”的概念。

鏡像是物理上的鏡像原理在計算機技術上的具體應用，它所指的是將數據原樣從一臺計算機（或服務器）上拷貝到另一臺計算機（或服務器）上。

5．網絡系統備份的主要目的是什么？

網絡系統備份的主要目的是盡可能快地恢復計算機或計算機網絡系統所需要的數據和系統信息。

6．網絡備份系統的主要部件有哪些？

網絡備份由如下四種基本部件組成：

目標：目標是指被備份或恢復的任何系統；

工具：工具是執行備份任務（如把數據從目標復制到磁帶上）的系統；

設備：設備通常指將數據寫到可移動介質上的存儲設備，一般指磁帶；

SCSI總線：SCSI總線是指將設備和聯網計算機連接在一起的電纜和接頭。

7．簡述磁帶輪換的概念及模式。

磁帶輪換是指在備份過程中使用磁帶的一種方法，它是根據某些預先制定的方法決定應該使用哪些磁帶。

1）A/B輪換，在這種方式中，把一組磁帶分為 A、B兩組。“A”在偶數日使用，“B”在奇數日使用，或反之。這種方式不能長時間保存數據。

2）每周輪換，這種方法每周換一次磁帶。這種方法當數據較少時很有效。

3）每日輪換，它要求每一天都得更換磁帶，即需要有七個標明星期一到星期日的磁帶。這種方式，在聯合使用全盤備份和差別備份或增量備份時較有效。

4）每月輪換，它通常的實現方法是每月的開始進行一次全盤備份，然后在該月余下的那些天里在其他的磁帶上作增量備份。

5）祖、父、孫輪換，它是前面所講的每日、每周、每月輪換的組合。

6）日歷規則輪換方法，按照日歷安排介質的輪換。

7）混合輪換，按需進行備份，作為日常備份的一種補充。

8）無線增量，只需做一次全盤備份。